IA, souveraineté, cybersécurité : les trois enjeux qui redéfinissent le jeu technologique

Pendant des années, la transformation numérique des entreprises s'est structurée autour d'un mot-clé : le cloud. Et avec lui, dès le départ, un sujet indissociable : la sécurité. Ceux qui ont vécu ces migrations se souviennent des débats sur les architectures hybrides, les politiques d'accès, le security by design dans les infrastructures d'hébergement. Ce n'était pas un sujet secondaire. C’était déjà une question de maîtrise.

Aujourd’hui, cette étape est largement derrière nous. Les organisations ont migré leurs infrastructures, leurs outils, leurs données. L’hybride est devenu la norme.

Mais une nouvelle bascule est en train de se produire.

Et cette fois, elle ne repose pas sur une seule rupture technologique. Elle repose sur trois dynamiques qui avancent ensemble, se nourrissent mutuellement, et dont les implications dépassent largement le seul champ technologique pour toucher la géopolitique, la réglementation et la compétitivité des nations.

Ces trois dynamiques sont l'intelligence artificielle, la souveraineté et la cybersécurité. Comprendre comment elles s'articulent, c'est comprendre ce qui va définir les grandes décisions stratégiques de la prochaine décennie.

L'IA : l'accélérateur universel, pour le meilleur et pour le pire

L'IA concentre aujourd'hui tous les regards. Les investissements explosent. Les usages se démocratisent.

Et pourtant, le marché a déjà tranché : l'IA est incontournable.

Selon Goldman Sachs Research, l'IA générative pourrait représenter jusqu'à 7 000 milliards de dollars de croissance économique mondiale sur la prochaine décennie. Microsoft, Google, Meta, Amazon et OpenAI investissent des dizaines de milliards de dollars par an dans les infrastructures nécessaires à son déploiement. Ces chiffres ne sont pas anecdotiques. Ils signalent une conviction systémique, pas une tendance passagère.

Ce qui est frappant, c'est que cette conviction s'est installée avant même que les cas d'usage soient totalement stabilisés.

On voit déjà des postes disparaître dans certaines organisations au nom des gains de productivité attendus de l'IA, parfois prématurément, parfois de façon justifiée.

La réalité, c'est que personne ne sait encore exactement à quel rythme ni dans quelle profondeur l'IA va transformer les organisations. Ce qui est certain en revanche, c'est que les investissements massifs consentis aujourd'hui créent une pression d'adoption qui s'auto-alimente. Et cette pression conduit parfois à déployer l'IA sans stratégie claire, sans gouvernance définie, sans anticiper les effets de bord.

C'est précisément là que l'IA bascule du statut d'opportunité à celui de risque.

Pendant longtemps, mener une cyberattaque sophistiquée nécessitait des compétences techniques pointues. Ce verrou est en train de sauter. L'IA démocratise des capacités autrefois réservées à des profils hautement spécialisés : génération de code malveillant, automatisation d'attaques, création de contenus frauduleux ultra-personnalisés, analyse massive de données volées.

Les conséquences sont déjà visibles et documentées. Les attaques de phishing générées par IA auraient augmenté de plus de 1 200 % depuis 2023 (Check Point Research, 2025). Les attaques vocales de type deepfake, où une voix ou un visage sont synthétisés pour usurper l'identité d'un dirigeant ou d'un collaborateur, ont connu une hausse estimée à +1 600 % sur la même période. 60 % des entreprises déclarent avoir déjà été confrontées à des tentatives de fraude ou d'usurpation liées à l'IA.

Ce que ces chiffres illustrent n'est pas seulement une montée en volume des attaques. C'est une transformation qualitative de la menace. L'IA permet des attaques plus ciblées, plus crédibles, plus difficiles à détecter et moins coûteuses à produire. Nous entrons dans ce qu'on pourrait appeler une économie de la véracité, où la vraie question n'est plus seulement "mes données sont-elles protégées ?" mais "comment garantir l'intégrité de ce qui est réel ?" Comment une direction générale peut-elle valider une instruction reçue par voie audio si la voix elle-même peut être synthétisée ? Comment préserver la confiance entre systèmes, entre décideurs, entre organisations, quand la réalité elle-même devient attaquable ?

La souveraineté : la bataille la plus silencieuse et la plus structurante

Derrière l'IA et la cybersécurité, un sujet émerge avec une discrétion inversement proportionnelle à son importance stratégique : la souveraineté technologique. Et c'est peut-être le sujet le plus mal compris de tous.

Cette dépendance n'est pas neutre. Une dépendance technologique est aussi une dépendance stratégique, avec des implications concrètes sur au moins trois niveaux.

• Le premier niveau est réglementaire. Lorsque des données européennes transitent par des infrastructures soumises au droit américain, notamment au Cloud Act, des injonctions extraterritoriales permettent théoriquement à des autorités américaines d'y accéder sans que les entreprises concernées n'en soient informées. Ce n'est pas une hypothèse d'école. C'est une réalité juridique que beaucoup d'organisations ignorent encore.

• Le deuxième niveau est opérationnel. Une dépendance à un fournisseur unique, quel qu'il soit, crée un risque de continuité que peu de dirigeants ont réellement cartographié. Qu'il s'agisse d'une décision commerciale, d'une sanction géopolitique ou d'une panne majeure, la question de la résilience en cas d'indisponibilité d'un service critique mérite d'être posée sérieusement.

• Le troisième niveau est compétitif et géopolitique. L'accès aux modèles IA les plus puissants, aux capacités de calcul et aux données d'entraînement devient un avantage stratégique de premier ordre. Qui contrôle les infrastructures contrôle aussi, en partie, la capacité des acteurs économiques à innover, à décider et à agir. Dans ce contexte, la dépendance technologique n'est pas seulement un risque opérationnel. C'est un rapport de force.

  
  

Ce qui rend ce sujet particulièrement complexe, c'est que les solutions présentées comme alternatives sont souvent des trompe-l'oeil.

Le label "cloud souverain" masque fréquemment une réalité où les couches fondamentales, processeurs, hyperscalers, modèles de base, restent hors du contrôle européen. Être souverain, ce n'est pas héberger ses données en France sur des serveurs opérés depuis Seattle.

La vraie souveraineté technologique, c'est la capacité à maîtriser ses données, ses infrastructures critiques, ses modèles et ses dépendances de façon à ne pas être exposé à des décisions unilatérales d'un acteur extérieur, qu'il soit commercial ou étatique. C'est une définition exigeante. Et c'est précisément pour cela que peu d'organisations y sont aujourd'hui.

La cybersécurité : un enjeu permanent que l'IA et la souveraineté amplifient ensemble

La cybersécurité n'est pas un sujet nouveau. Ceux qui ont construit des architectures cloud au tournant des années 2010 le savent : la sécurité était déjà là, déjà centrale, déjà difficile à maîtriser. Elle s'est progressivement structurée, outillée, professionnalisée. Mais elle entre aujourd'hui dans une dimension qualitativement différente, sous l'effet conjugué de l'IA et de la complexité des écosystèmes numériques.

Les chiffres sont éloquents. En France, le ministère de l'Intérieur a recensé 348 000 atteintes numériques en 2024, soit une hausse de 74 % en cinq ans. L'ANSSI a traité plus de 3 500 événements de sécurité en 2025.

La question n'est plus de savoir si une organisation sera ciblée. C'est de savoir quand, et avec quel niveau de préparation.

Ce qui change aujourd'hui, c'est la surface d'attaque elle-même. Avec les outils no-code, low-code, et désormais les assistants IA capables de développer des applications entières à partir d'une simple instruction en langage naturel, la création technologique s'est massivement démocratisée. C'est une opportunité réelle pour l'innovation. Mais elle génère un paradoxe structurel : des milliers d'applications sont désormais conçues et déployées par des personnes qui n'ont pas de formation en développement, et donc peu ou pas de culture cybersécurité. Résultat : des APIs mal sécurisées, des gestions d'accès approximatives, des dépendances vulnérables, des données sensibles intégrées dans des prompts IA sans contrôle, des secrets exposés dans des dépôts de code accessibles publiquement.

À cela s'ajoute un phénomène massivement documenté. Selon Gartner, 57 % des employés utilisent déjà des outils d'IA personnels dans un contexte professionnel, et près d'un tiers auraient déjà partagé des données sensibles dans des IA publiques, souvent sans en avoir conscience. Le plus grand risque n'est pas l'outil lui-même. C'est son usage non gouverné, hors de tout cadre de sécurité défini par l'organisation.

La dimension souveraineté se greffe ici directement sur la cybersécurité. Lorsque des données sensibles transitent par des modèles IA hébergés hors d'Europe, sous des juridictions différentes, le risque n'est pas seulement technique. Il est réglementaire, avec des implications potentielles au regard du RGPD, et il est stratégique, puisqu'on ne sait pas toujours précisément comment ces données sont traitées, stockées ou utilisées pour entraîner des modèles futurs.

Cette réalité change profondément la nature de la cybersécurité dans les organisations. Elle n'est plus seulement une couche technique ajoutée à posteriori. Elle devient un sujet de gouvernance, de confiance, de résilience et de positionnement stratégique.

Ce que cela implique concrètement pour les organisations

Face à ces trois dynamiques interconnectées, plusieurs impératifs s'imposent.

• Gouverner avant de déployer. Avant d'accélérer l'adoption de l'IA, les organisations doivent définir un cadre clair : quelles données peuvent transiter par quels outils, sous quelle juridiction, avec quelles garanties de sécurité. Cette gouvernance n'est pas un frein à l'innovation. C'est la condition pour que l'innovation soit durable.

• Cartographier ses dépendances technologiques critiques. Quels acteurs, quelles infrastructures, quels modèles sont indispensables au fonctionnement de votre organisation ? Quelle est votre exposition en cas de coupure de service, de décision commerciale unilatérale ou de pression géopolitique ? Cette cartographie devrait être traitée au même niveau de sérieux qu'une revue de portefeuille ou qu'une analyse de risques fournisseurs.

• Intégrer la sécurité dès la conception, systématiquement. Dans un environnement où la création d'applications est accessible à tous et où l'IA accélère cette démocratisation, le security by design doit devenir un standard non négociable, y compris pour les équipes non techniques. Cela implique des politiques claires, des outils accessibles et une culture de la sécurité qui dépasse les seules équipes IT.

• Monter la cybersécurité au niveau exécutif. Les décisions de sécurité ont des implications directes sur la stratégie, la réputation, la résilience opérationnelle et la conformité réglementaire des organisations. Elles ne peuvent plus être déléguées à un silo technique. Le RSSI doit avoir une place dans les décisions stratégiques, pas seulement dans les revues techniques.

• Former, en permanence. La majorité des incidents de sécurité commencent par une erreur humaine. Dans un monde où l'IA rend les attaques plus crédibles et les comportements à risque plus fréquents, la sensibilisation continue n'est pas une option. C'est la première ligne de défense.

Conclusion : la prochaine décennie sera celle de la maîtrise

L'intelligence artificielle est probablement l'une des transformations technologiques les plus profondes de notre époque. Mais le véritable enjeu n'est pas d'aller plus vite. C'est de construire un futur numérique qui reste fiable, sécurisé et réellement souverain.

Les entreprises et les nations qui réussiront demain ne seront pas uniquement celles qui auront le plus investi dans l'IA. Ce seront celles qui auront su concilier innovation, sécurité, gouvernance et maîtrise de leurs dépendances stratégiques.

Parce qu'une innovation sans sécurité crée de la fragilité. Parce qu'une technologie sans souveraineté crée de la dépendance. Et parce que la dépendance, dans un monde géopolitiquement instable, est un risque stratégique que peu d'organisations ont encore vraiment intégré dans leur modèle de gouvernance.

La prochaine décennie ne sera pas seulement celle de l'innovation technologique. Elle sera celle de la maîtrise.

Sources : Goldman Sachs Research, Cybersecurity Ventures, ANSSI (Panorama de la cybermenace 2025), Gartner, Check Point Research AI Security Report 2025, Ministère de l'Intérieur, Rapport cybercriminalité France 2024.